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PROC£d£ DE TRAITEMENT D'UN SYSTfcME 6LECTRONIQUE SOUMIS 
A PES CONTRAINTES D ' ERREURS TRANSITOIRES 

DESCRIPTION 



DOMAINE TECHNIQUE 

La presente invention concerne un procede 
de traitement d'un systeme electronique sourais a des 
contraintes d' erreurs transitoires, par exemple dans le 
domaine spatial. 

ETAT DE LA TECHNIQUE ANTERIEURE 

Les concepteurs d' architectures informa- 
tiques pour satellites sont confrontes au probleme des 
radiations existantes dans l'espace, qui sur terre sont 
filtrees par 1' atmosphere . Ces radiations peuvent avoir 
pour effet un « eyenement singulier » qui occasionne 
des changements , d'etats temporaires de bits dans les 
composants memoires, dans les registres internes de 
microprocesseurs ou d' autres composants integres. Les 
erreurs engendrees par ces evenements singuliers 
peuvent, par exemple aboutir a la. generation de donnees 
erronees, par exemplis une mauvaise commande d'un 
actuateur d'un satellite, ou a une perturbation grave 
du sequencement du logiciel, par exemple plantage d' un 
microprocesseur, 

Jusqu' a present, la solution aux erreurs de 
type evenement singulier residait dans 1' utilisation de 
technologies de circuits integres peu sensibles a ce 
phenomene, dites « tolerantes aux radiations », voire 
insensibles, dites « durcies aux radiations ». De 
telles technologies, qui ne sont pas utilisees en 
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micro-electronique industrielle, ont ete developpees 
specif iquement pour des applications militaires et 
spatiales . 

Le cout global associe a 1' existence de ces 
technologies micro-electroniqueS et au d^veloppement de 
composants utilisant de telles technologies, et done le 
cout de vente de ces composants, est tres 61eve. Le 
ratio du cout entre un circuit durci et un circuit 
commercial peut etre de 100 ou plus. 

La part de marche des composants 
militaires, dit « haute fiabilite », a fortement chute, 
de 80% dans les annees 1960 a moins de 1% en 1995. A 
partir de 1994, le departement americain de la defense 
a donne un coup de frein a 1' utilisation de composants 
electroniques militaires pour ses applications, et 
accelere le processus d' appropriation par les activites 
militaires des specif ications/normes/composants com- 
merciaux. 

Comme decrit dans le document reference [1] 
en fin de description, 1' utilisation de composants 
electroniques commerciaux est devenu un challenge 
auquel est confronte le domaine spatial. 

L' utilisation de composants commerciaux 
dans les applications spatiales est un probleme auquel 
est confronte tout projet de nouvelle generation. Un 
probleme majeur a resoudre est alors la sensibilite de 
ces composants aux radiations, et en particulier aux 
ions lourds : cet aspect qui etait traite au niveau 
« composant » anterieurement, doit alors etre resolu au 
niveau « architecture » et « systeme ». Comme decrit 
dans les deux documents references [2] et [3], les 
satellites, et done leur electronique embarquee, sont 
en effet soumis a un environnement radiatif, compose de 
differentes particules (electrons, ions lourds, 
protons), que ne connaissent pas les systemes utilises 
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au sol car ces particules sont filtrees par 
1' atmosphere . 

Ces particules peuvent §tre dues : 

- au rayonnement cosmique d'origine en partie extra 
5 galactique, en partie galactique, constitue d'ions 

extremement energetiques, 

- aux ceintures de radiation constitutes d' electrons et 
de protons pieges engendres suite a des interactions 
entre 1' atmosphere terrestre et des particules 

10 solaires, 

- aux eruptions solaires qui emettent des protons ou 
des ions lourds, 

- au vent solaire genere par 1' evaporation du plasma 
coronal/ permettant 1' echappement a 1' attraction 

15 gravitationnelle du soleil de protons et d'ions de 
faible energie. 

Ces particules energetiques, en percutant 
et traversant un composant electronique,. lui 
transferent une partie de leur energie qui va perturber 

20 le bon fonctionnement de celui-ci. On considere ici les 
problemes nommes « evenements singuliers », crees par 
les ions lourds et les protons. 

Ces evenements singuliers correspondent a 
la generation d' erreurs dans des cellules qui 

25 memorisent des valeurs binaires, d f ou des erreurs de 
bits. En regie generale, un seul bit est modifie par un 
ion lourd. Ces evenements ne sont pas destructifs et 
l'on peut par la suite ecrire une nouvelle donnee ; 
celle-ci est memorisee sans erreur, a moins de 

30 1' apparition d' un autre evenement singulier dans cette 
meme cellule. C'est la raison.pour laquelle on utilise 
dans la suite le terme « faute transitoire » pour 
caracteriser les erreurs engendrees par ces phenomenes. 

Comme on l'a deja presente ci-dessus, la 

35 realisation de 1' electronique embarquee sur satellite 
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est la plupart du temps realisee avec des composants 
insensibles aux radiations, soit specif iquement 
fabriques pour cela, soit obtenus par selection de 
composants non specif iquement fabriques pour cela. 

Pour pouvoir utiliser des composants 
commerciaux dans le domaine spatial sur une large 
echelle, une premiere possibilite est une selection par 
test en radiation systematique des composants 
commerciaux. Une telle methode serait non seulement 
tres couteuse sur le plan de la selection, mais encore 
un pis aller car elle ne permet pas forcement 
d' utiliser les grands standards de 1' Industrie, ce qui 
est pourtant souhaitable. 

Une deuxieme possibilite economiquement 
plus rentable permet de reduire les contraintes sur les 
choix de composants. Elle consiste a trouver une" 
methode permettant de tolerer les phenomenes engendres 
par les radiations, en particulier les erreurs 
transitoires, C est-a-dire definir des architectures 
permettant de detecter les erreurs, puis de les 
corriger. La prise en compte des fautes transitoires 
est alors transferee du niveau « composant » au niveau 
« architecture » et « systeme ». 

Un ensemble de mecanismes de detection, 
isolation et recouvrement de fautes est decrit dans les 
documents references. [4], [5] et [6]. Certains 
mecanismes permettent simplement de detecter des 
erreurs, d'autres de les detecter puis de les masquer, 
voire de les corriger. Par ailleurs, ces mecanismes 
sont adaptes au traitement soit de fautes temporaires, 
soit de pannes definitives, soit des deux. 

Un rappel succinct de mecanismes usuels est 
propose ci-dessous, avec quelques exemples 
d' application en particulier dans le domaine spatial : 
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- Evitement de fautes : raf ralchissement 
systematise des donnees statiques avant leur 
utilisation effective ; autotests dits .« off-line » (en 
dehors du f onctionnement nominal) permettant de 
detecter une panne de composant avant que celui-ci ne 
soit utilise - 

Codes detecteurs ou detecteurs/ 
correcteurs d' erreurs qui s'appliquent aux memoires, 
aux communications, et eventuellement a la logique, 
essentiellement dans la realisation de circuits 
integres specif iques d'une application (ASIC) ou de 
circuits logiques programmables par 1' utilisateur 
(FPGA) a controle integre. Des circuits a detection et 
correction d' erreurs (EDAC) sont systematiquement 
utilises en spatial sur les plans memoire. Une fonction 
de relecture systematique (ou « scrubbing ») de tout le 
plan memoire est associee a ces circuits et s' execute 
en tache de fond afin d'eviter 1' accumulation d' erreurs 
dormantes qui,, a terme, pourraient mettre en defaut la 
possibility de detection/correction. 

Duplication et comparaison, ou 
triplication et vote . majoritaire (« N Modular 
Redondance », redondance modulaire d'ordre N) , Ces 
mecanismes periaettent d'obtenir des architectures sQres 
(« fail safe ») lors d'une panne qui ne genereront pas 
de mauvaise commande mais qui s'arreteront a la 
premiere faute (duplex), ou des architectures restant 
operationnelles (« fail operational ») lors d'une 
panne, qui auront la capacite de masquer une erreur 
simple en temps reel et de poursuivre en restant 
« sflres » (triplex). On trouve egalement dans cette 
classe les architectures maitre/controleur ou l'on 
duplique uniquement les microprocesseurs, les donnees 
sortant du « maitre » etant verifiees par le 
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« controleur » ; le microprocesseur ERC-32 de la 
society MHS S.A. integre un tel mecanisme. 

- Methode de programmation multiple (« N- 
version programming ») , associee aux architectures a 
redondance modulaire d' ordre N, qui permet de detecter 
egalement des erreurs de conception logicielle. Chaque 
calculateur dispose d'une version de logiciel qui a ete 
developpee specif iquement a partir d'une specification 
commune . 

- Redondance temporelle : il s'agit soit 
d' avoir deux executions successives suivies d'une 
comparaison, soit d' avoir une seule execution suivie du 
chargement d' un registre de commande puis de la 
relecture de celui-ci afin de realiser une comparaison 

15 et une validation, tel le mecanisme « armer puis 
tirer » utilise en spatial pour les commandes tres 
critiques, par exemple le declenchement des elements 

pyrotechniques . 

- Controle du temps d' execution : des 
« chiens de garde », compteurs de temps qui permettent 
de verifier 1' execution en une duree bornee d' un 
logiciel, sont utilises dans tous les calculateurs 
spatiaux. De plus, des controles plus fins du temps 
d' execution peuvent etre incorpores dans le logiciel : 
controle . de la duree d'une tache, duree maximale 
autorisee pour obtenir la reponse d' un elements de 
communication, etc. Des logiciels permettent de 
positionner des controles sur la duree d' execution des 
taches . 

- Verification du flot de controle, par 
exemple controle du sequencement d' un microprocesseur. 
Les chiens de garde permettent un controle grossier : 
detection d' un plantage dur. Un controle fin du flot 
d' instruction est possible avec un processeur de 

35 surveillance plus ou moins complexe . Le controle par 
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analyse de signature est particulierement efficace et 
peu demandant en electronique . Ce concept a ete integre 
dans l'ERC-32 de la societe MHS S.A. . mais, pour etre 
transparent a 1' utilisateur, il a fallu developper un 
5 compilateur specifique qui calcule les signatures de 
reference et les integre dans le code. 

- Controle de la validite de l'adressage 
-■ d'un microprqcesseur a partir des droits d'acces par 

page s/ segments . 

10 - Controle de vraisemblance : ce principe 

est utilise dans les Systemes de Controle d' Attitude et 
d'Orbite (ou SCAO) de satellites ou 1'on compare soit 
les donnees de plusieurs types de capteurs pour 
detecter des incoherences eventuelles, soit une donnee 

15 par rapport a une reference estimee grace a un filtre 
predictif sur les valeurs precedentes, soit une donnee 
par rapport a une plage d' appartenance predefinie. Les 
methodes dites « tolerance aux fautes basee sur le 
traitement algorithmique » representent une sous-classe 

20 des contrdles de vraisemblance, la verification etant 
basee sur 1' execution d'un deuxieme algorithme, par 
exemple 1' algorithme inverse qui permet de retrouver 
les donnees initiales en partant des resultats obtenus 
si ceux-ci sont exempts d'erreurs. 

25 - Controle structurel ou semantique des 

donnees/ necessitant des structures de donnees 
relativement complexes. 

- Concepts complementaires de recouvrement 
d'erreurs, principalement des points de reprise pour 

30 les mecanismes decrits precedemment ne permettant pas 
de corriger les fautes : sauvegarde reguliere de 
contextes et reprise a partir du dernier contexte 
sauvegarde . 

- Une autre possibility du recouvrement 
35 d'erreurs reside en la reinsertion d' une ressource en 
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faute par transfusion d'un contexte sain dans un 
calculateur fautif, afin de retrouver la capacite 
initiale de detection/ correction. 

II existe egalement des documents de l'art 
connu dans le domaine de la redondance temporelle . 

Le document reference [5] evoque la 
possibility d'executer une tache trois fois de suite et 
de « voter » le resultat. 

La possibility de realiser un 

f onctionnement de type redondance modulaire d' ordre N 
en logiciel/ est egalement mentionnee de facon 
theorique dans le document reference [6] . 

Dans ce dernier document, une autre methode 
permet de discriminer les fautes transitoires des 
fautes permanentes voire de les corriger. La detection 
n'est pas une methode de redondance temporelle mais, 
par exemple, un codage des donnees. En cas de 
detection, le traitement est execute une deuxieme 
fois ; si la deuxieme execution donne des resultats 
sans erreur, il s'agit d' une erreur transitoire et il 
est inutile de reconfigurer le systeme ; dans le cas 
inverse, une reconfiguration est necessaire car il 
s'agit d'une faute permanente. 

Dans ces deux documents, la redondance 
temporelle est mentionnee comme theoriquement possible, 
mais aucune information n'est fournie quand a la 
possibility reelle de sa realisation, aucun 
developpement concret n'est cite. Certains problemes 
restent entiers : en particulier, le vote peut-il etre 
realise par le microprocesseur lui-meme ou doit-il etre 
realise par un organe externe et independant du 
microprocesseur. En effet, le resultat du vote se doit 
d'etre robuste puisque c'est 1' element decisionnel, or 
le microprocesseur peut etre victime de 
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dysfonctionnement : erreur de donnees, plantage du 
sequencement, etc. . La realisation du vote par le 
microprocesseur est done un element majeur non aborde . 
Par ailleurs, la granularite sur laquelle se base la 
5 detection n'est pas definie. 

Le document reference [7] est un peu plus 
concret. II presente une evaluation comparative de deux 
methodes de detection d'erreurs. L'une d' entre elles 
est nominee « triple redondance modulaire logicielle ». 

10 . La triple redondance modulaire est consideree comme 
habituellement realisee en materiel. La methode evaluee 
dans cette publication utilise la redondance temporelle 
par execution successive du logiciel, tous les modules, 
notamment le module vote, etant realises en logiciel et 

15 executes sur le nieme microprocesseur. C'est done une 
approche purement logicielle. La figure 1, qui 
correspond a la figure 1 de ce document, illustre la 
realisation de la detection : trois modules vote 1, 2 
et 3 comparant chacun les resultats de 1' execution de 

20 trois traitements 4, 5 et 6 sont suivis d'un etage de 
decision 7, qui compare le resultat issu de chacun des 
modules votes pour verifier la coherence des trois 
traitements. La triple redondance modulaire logicielle 
est programmee sur un microprocesseur MC68000. Environ 

25 1500 erreurs ont ete injectees pour valider ce 
logiciel. La memoire .n'est pas protegee des erreurs par 
un circuit de detection et correction d'erreurs. Ce 
document conclut que seules les erreurs qui 
entraineraient un traitement a en perturber un autre, 

30 ne peuvent pas etre detectees. De plus, les erreurs 
affectant les communications entre programmes ne sont 
pas entierement tolerees. 

Ce document mentionne une realisation 
concrete d' une architecture ou les traitements sont 

35 executes trois fois de suite (redondance temporelle), 
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et ou le module vote est execute trois fois, les 
resultats des modules de vote etant ensuite eux-memes 
votes. II apparait que le vote n'est aucunement 
securise, c'est pour cela qu' il doit etre triplique. La 
5 prise finale de decision est alors confiee au dernier 
etage illustre sur la figure, qui est indirectement 
securise par le fait qu' il est forcement d'une taille 
tres faible (il suffit de quelques lignes de code pour 
voter trois donnees) : statistiquement, les evenements 

10. singuliers affectant directement ce module sont 
negligeables, mais ceci ne le securise pas vis-a-vis 
des erreurs de sequencement du microprocesseur. 

Le document reference [8] presente 
egalement une realisation de «triple redondance 

15 modulaire logicielle» sur un microprocesseur de type 
iAPX 432/ realisation proche de celle presentee dans le 
document reference [7] : chaque sous-tache logicielle 
est exe-cutee trois fois de suite, puis un module de 
vote logiciel est egalement execute trois fois, ce qui 

20 permet de conclure qu' il n'est pas securise, ces taches 
s' executant sur le meme microprocesseur de facon 
asynchrone. Une phase d' injection d' erreur a permis de 
mettre en evidence des propagations d' erreurs entre 
sous-taches, ce qui tend a montrer qu' il n'y a pas 

25 d' etancheification des sous-taches les unes par rapport 
aux autres . 

Une estimation du taux d' evenements 
singuliers dans un calculateur spatial typique a ete 

30 realisee ; ce taux depend bien sur d' hypotheses comroe 
du nombre de cellules memoire et de la valeur de la 
sensibilite d' une cellule unitaire prise en compte. Une 
simulation de la criticite des erreurs sur la gestion 
de 1' attitude d'un satellite a egalement ete faite en 

35 prenant en compte la generation d' une mauvaise commande 
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sur un actuateur moyennement critique d'un systeme de 
contrdle d' attitude et d'orbite, par exemple une roue a 
reaction. II apparait que le taux d' evenements 
singuliers est faible, mais pas suffisamment pour 
5 negliger ce phenomene vis-a-vis de deux types de 
commandes : 

- commandes les plus critiques : 
pyrotechnie, propulseurs, gestion 
batterie, etc. On ne peut pas prendre le 

IQ risque de perdre un satellite plusieurs 

fois par an ; 

— commandes moyennement critiques : roues 
a reaction, magneto-coupleurs, etc. 
Certaines missions, en particulier 

!5 commerciales (observation, telecommunica- 

tion) ne sont pas compatibles de 
perturbations d' attitudes potentiellement 
engendrees par ces erreurs, meme si 
celles-ci restent limitees. 
20 Par ailleurs, la frequence des evenements 

singuliers est tres largement superieure a la frequence 
du cycle temps reel du calculateur. 

L'objet de 1' invention est de proposer un 
25 procede de traitement d'un systeme electronique soumis 
a des contraintes pV erreurs transitoires permettant 
d'utiliser des composants commerciaux malgre leur 
sensibilite aux evenements singuliers, en permettant de 
detecter 1' apparition d' erreurs transitoires et de les 
30 corriger . 

EXPOSfe DE 1/ INVENTION 

La presente invention concerne un procede 
de traitement d'un systeme electronique soumis a 
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contraintes d' erreurs transitoires, par exemple dans le 
domaine spatial, caracterise en ce que dans un cycle 
temps reel donne, on multiplexe dans le temps deux 
chalnes virtuelles implantees sur une seule chalne 
physique ; les donnees resultantes de chaque execution 
d'une chaine virtuelle etant stockees afin d'etre 
votees avant utilisation, et en ce que, en cas de 
detection d' erreur, on inhibe le cycle temps reel en 
cours, et on recharge un contexte sain pour effectuer 
une reprise consistant en une execution nominale du 
cycle suivant a partir du contexte recharge. 

Ainsi la correction d' erreurs est realisee 
par rechargement d'un contexte sain, c'est-a-dire celui 
calcule lors du cycle temps reel qui precede le cycle 
ou 1' erreur a ete detectee, puis par execution nominale 
(c'est-a-dire en refaisant de nouvelles acquisitions) 
du cycle qui suit celui ou 1' erreur a ete detectee a 
partir du contexte restaure ; ce type de correction est 
caracterise par 1' apparition d' un « trou » d'un cycle 
temps reel dans 1' execution du logiciel (celui ou 
1' erreur a ete detectee). 

Avantageusement on peut avoir egalement les 
caracteristiques suivantes . 

On peut utiliser trois niveaux de zones de 
confinement des erreurs : temporel, logiciel et 
materiel ; le confinement au niveau temporel des 
erreurs ne pouvant se propager d'un cycle temps reel a 
1' autre ; confinement au niveau logiciel des erreurs ne 
pouvant se propager d'une tache logicielle a 1' autre et 
egalement d'une chaine virtuelle a 1' autre ; 
confinement au niveau materiel des erreurs apparaissant 
dans 1' electronique d' acquisition ou dans 1' unite 
centrale et ne pouvant se propager dans 1' electronique 
de commande (pas de generation de fausses commandes) . 
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On peut utiliser un plan raemoire de 1' unite 
centrale protege des evenements singuliers par code 
detecteur et correcteur d' erreur. 

La granularite de detection/correction 
5 retenue peut etre le cycle temps reel du calculateur, 
ce qui permet de reduire fortement les contraintes 
apportees par la fonction « sauvegarde de contexte » 
activee regulierement, ainsi que par la fonction 
« restauration de contexte » activee lors d'une 
10. correction d' erreurs, par rapport aux solutions 
usuelles connues de l'homme du metier en ce que le 
nombre de variables appartenant au contexte est reduit 
au strict minimum a la frontiere de deux cycles temps 
reel . 

15 La fonction « sauvegarde de contexte » 

activee regulierement peut etre realisee grace a un 
changement d' index, off rant l'avantage que cette 
fonction a un impact quasi nul tant sur le cout de 
developpement du logiciel que sur le temps d' execution 

20 de cette fonction par le microprocesseur ; le seul 
impact residant dans la recopie par cette fonction des 
variables du contexte ayant une duree de vie superieure 
a la granularite de detection/correction, i.e. le cycle 
temps reel . 

25 La fonction « restauration de contexte » 

activee lors d'une, correction d f erreurs peut etre 
realisee grace au fait que 1' index indiquant le 
contexte juge sain du cycle temps reel precedent ne 
doit pas etre change, alors qu' il est bascule en temps 

30 normal, c' est-a-dire lorsqu' aucune erreur n'est 
detectee ; ce « non basculement » est inherent a 
1' inhibition du cycle temps reel dans lequel 1' erreur 
est detectee, off rant ainsi 1'avantage qu' il n' y a 
aucun impact de cette fonction tant sur le cout de 

35 developpement du logiciel que sur le temps d' execution 
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de cette fonction par le microprocesseur, ce qui est 
inhabituel dans les solutions usuelles connues de 
1'homme du metier. 

On peut utiliser une segmentation de la 

* 5 raemoire associee a un dispositif materiel de controle 
des droits d'acces, ce dispositif permettant de 
disposer de segments de tailles differentes et 
quelconques. Ce dispositif materiel de controle des 
droits d'acces permet plusieurs configurations d'acces, 

10 chaque configuration autorisant l'acces a un ou 
plusieurs segments non contigus. Ce dispositif materiel 
de controle des droits d' acces permet egalement la 
selection des configurations d'acces selon des 
combinaisons logiques de une ou plusieurs cles. 

15 on peut utiliser une mise en table des 

variables/donnees qui doivent etre votees afin 
d'obtenir un module de vote a la fois simple et 
reutilisable d' une application a 1' autre ; dans ce cas, 
le module de vote impacte de facon tout a fait 

20 negligeable le cout de developpement du logiciel. 

On peut utiliser un vote logiciel dont 
l'integrite est assure par des controles logicielS/ 
incluant en particulier un processeur de surveillance 
logiciel, et materiels ; le vote declenche egalement 

25 1' autorisation des transferts vers 1' electronique de 
commande si aucune erreur n'est detectee. 

On peut, enfin, utiliser un controle des 
transferts vers 1' electronique de commande par un 
dispositif materiel verifiant les droits d'acces et 

30 limitant dans le temps la validite de ce transfert 
(fenetre de validation temporelle) , delimitant ainsi 
une zone de confinement des erreurs au niveau materiel. 

Dans le procede de 1' invention on a ainsi : 
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- Duplication temporelle de 1' execution des taches, et 
vote des tables resultantes, 

- Detection de toutes les erreurs de. donnees grace au 
vote des tables, 

- Detection des erreurs de sequencement grace aux 
dispositifs materiels et logiciels de securisation du 
vote et de contrdle des droits d' acces ; 

- Correction transparente a 1' application : tout se 
passe comme s f il y a avait un « trou » d'un cycle 
temps reel . 

La minimisation des developpements 
specif iques est 1'un des avantages du procede de 
1' invention, a savoir : 

- Pour le logiciel : 

• le regroupement des variables votees dans des 
tables, 

• le module de « Vote et generation des 
commandes », qui est par ailleurs 
reutilisable d'une application a 1' autre, 

• la gestion du procede de 1' invention (gestion 
de la duplication temporelle, des dispositifs 
materiels de surveillance des acces memoire 
et de fenetre de validation temporelle, de la 
correction des erreurs). 

- Pour le materiel : 

• la surveillance des acces memoire et la 
fenetre de validation temporelle : ce sont 
des composants simples, qu' il f aut integrer 
dans un circuit FPGA ou, mieux, dans le 
circuit ASIC associe usuellement au 
microprocesseur (decodage d'adresses, etc.), 
ils sont par ailleurs reutilisables d'une 
application a 1' autre, 
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• la protection de 1' electronique des comraandes 
critiques par des mecanismes usuels de 
tolerance aux fautes (e.g. instrumentation). 
Les avantages du procede de 1' invention 
5 sont done les suivants : 

- Tres peu de developpement materiels, 

- Tres peu de developpement logiciels, 

- Minimisation des coats recurrents (un seul 
calculateur) par rapport a d' autres 

10. architectures tolerantes aux fautes, 

de telles caracteristiques etant inhabituelles dans le 
domaine de la tolerance aux fautes. 

De plus 1' utilisation de composants 
« commerciaux » dans le spatial presente les principaux 

15 avantages suivants : 

- Resoudre le probleme de la reduction 
constatee de 1' off re en composants « haute fiabilite », 
suite aux retraits de ce marche de fournisseurs 
majeurs . 

20 - Reduction des couts, aspect stimule par 

le contexte budgetaire. Or, le poste « composants haute 
fiabilite » est non negligeable dans le cout total du 
developpement d' un equipement, et devient preponderant 
dans son cout recurrent. 

25 _ Utilisation de fonctions/composants plus 

performants, permettant de reduire le volume 
d' electronique et/ou d' augmenter la f onctionnalite . 

- Reduction de la duree de developpement 
des projets pour offrir un acces a l'espace plus 

30 reactif, le delai d' approvisionnement des composants 
« haute fiabilite » etant couramment de un ou deux ans. 



Avantageusement , le procede de 1' invention 
a une vocation generique, et peut etre utilise dans 
tout type de calculateur soumis a des contraintes 



B 13049 DB 



17 

d' erreurs transitoires, quelle que soit l'origine de 
ces erreurs (radiations cosmiques, impulsion 
electromagnetique, etc.)/ mais il s' applique tout 
naturellement au doraaine spatial. 



5 BRfcVE DESCRIPTION PES DESSINS 

• la figure 1 illustre une realisation de triple 
redondance modulaire logicielle de l'art connu, 

• la figure 2 illustre le synoptique de 
1' architecture materielle servant de reference dans 

10 la presente description, 

• la figure 3 illustre le diagramme temporel de 
1' architecture logicielle de reference, 

• la figure 4 illustre le sequencement de 
1 ' architecture de reference, 

15 • les figures 5A et 5B illustrent le sequencement 
global de fonctionnement : respectivement sans 
utiliser, et en utilisant le procede de 
1' invention, 

• la figure 6 illustre une description fonctionnelle 
20 du procede de 1' invention, 

• la figure 7 illustre le synoptique de 1' ensemble du 
procede de 1' invention, 

• la figure 8 illustre la zone de confinement des 
erreurs au niveau materiel, 

25 • la figure 9 illustre le sequencement du procede de 
1' invention et le basculement des tables de 
contexte, 

• la figure 10 illustre le vote des donnees, 

• les figures 11A et lib illustrent la structure du 
30 vote du procede de 1' invention : respectivement les 

differentes erreurs de sequencement de type 
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« plantage doux » et la structure de la procedure 
de vote/generation des commandes. 

Exposfc d£taill£ de modes de realisation particuliers 

Dans la suite de la description, on 
5 considere a titre d'exemple une application du procede 
de 1' invention dans le domaine spatial. 

Une application typique et generique d' un 
calculateur utilise en spatial est fournie ci-dessous, 
tant du point de vue materiel que logiciel. 
10 1/ architecture de reference, illustree sur la figure 2, 
sert de base a la description du procede de 
1' invention. 

L' unite de gestion de bord 10, illustree 
sur cette figure 2, comprend : 
15 - une unite centrale 11, 

- une memoire de masse 12 

- des interfaces puissance 13, charge utile 15, 
pyrotechnie 16, thermique 17, systeme de controle 
d' attitude et d'orbite 18, 

20 - relies par un bus de donnees 19, 

- un interface telecommande-telemesure 14 

- une electronique de surveillance et de 
reconfiguration 20, 

- des convertisseurs- continu-continu 21 delivrant des 
25 alimentations commutees AC et perraanentes AP. 

L' interface puissance 13 est reliee a un 
generateur solaire 25 et a une batterie 26. 

L' interface telecommande-telemesure 14 est 
relie a un emetteur/recepteur, duplexeur 27 en liaison 
30 avec des antennes 28 et 29. 

La charge utile 31 est reliee a 1' unite 
centrale 11 par un bus avionique 32 , a la memoire de 
masse 12 ainsi qu'a 1' interface telecommande/telemesure 
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14 par une liaison serie haut debit 33, a 1' interface 
charge utile 15. 

L' interface pyrotechnie 16 est relie a des 
systemes deployables 35. 
5 L' interface thermique 17 est reliee a des 

rechauf feurs, thermistances 36. 

L' interface systeme de controle d' attitude 
et d'orbite 18 est relie a des capteurs CI, C2, — Cn, 
a des actuateurs Al, A2 ... Am, et a un capteur de 

10 pression des reservoirs 37. 

Une telle architecture est done constitu.ee 
de differents modules de traitement (module unite 
centrale) ou d' entree/sorties (modules d' acquisition, 
modules de commande) * Les modules d' entree/sortie 

15 integrent 1' electronique de bas niveau (convertisseur 
analogique/numerique / ou numerique/analogique, 
multiplexeurs de voies numeriques ou analogiques, 
relais, etc.) . 

Les modules peuvent indif f eremment etre des 

20 cartes reliees par un bus fond-de-panier, ou des 
boitiers complets relies par un bus avionique. Dans les 
deux cas, l'interface au bus est realise par un 
Coupleur de Bus (CB) maitre sur le module Unite 
Centrale, et par des coupleurs de bus abonnes sur les 

25 autres modules. 

L' architecture logicielle de reference, 
comme illustree sur la figure 3, est constitute de 
taches de traitement (par exemple : tache du systeme de 
controle d' attitude et d'orbite, tache controle 

30 thermique, tache horloge temps reel, tache gestion 
bord, etc.), chaque tache generant des resultats qui 
doivent sortir du calculateur (commandes ou cdes) , ces 
resultats etant generes (i.e. sortis du calculateur) au 
fur et a mesure de leur calcul . Les acquisitions (ou 

35 Acq) sont groupees en debut de cycle temps reel pour 
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raison de coherence temporelle (systeme de controle 
d' attitude et d'orbite par exemple) . 

Sur la figure 3 les taches A, B et C sont 
representees a la meme frequence pour des raisons de 
5 clarte de la description. 

1/ activite de ces taches est rythmee par un 
cycle temps reel declenche par une interruption Temps 
Reel IT-TR cyclique. Ce cycle permet de demarrer de 
facon cyclique certaines taches, qui travaillent soit a 

10. la frequence du cycle temps reel, soit a une sous- 
frequence. D'autres taches sont asynchrones, 
initialisees sur evenements. 

Une representation faisant a la fois 
apparaitre 1' architecture de reference materielle et 

15 logicielle est fournie a la figure 4. Sur cette figure 
sont representees 1' unite centrale 40, 1' electronique 
d' acquisition 41 reliee a des capteurs 42, et 
1' electronique de commande 43 reliee a des actuateurs 
44, ces deux electroniques 41 et 43, ainsi que 1' unite 

20 centrale etant reliees a un bus de donnees 45. 

Le sequencement des trois phases 
principales Phi, Ph2 et Ph3, que sont 1' acquisition de 
donnees, leur traitement, et la generation de 
commandes, mettent en jeu les trois parties distinctes 

25 de 1' electronique 40, 41, 43, les phases Ph2 et Ph3 
etant imbriquees. 

La partie materielle de cette architecture 
ne se base que sur des blocs fonctionnels et ne tient 
done pas compte de la specif icite de composants 

30 particuliers et de leur capacites eventuelles dans le 
domaine de la detection/correction d'erreur. Le procede 
de 1' invention est done autosuf f isant . Cependant, 
1' utilisation d'eventuels mecanismes de tolerance aux 
f autes . integres aux composants retenus pour une 

35 application donnee ne peut qu'ameliorer le taux de 
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couverture d' erreurs par rapport au procede de 
1' invention seul. 

Une determination des signatures d' erreurs 
potentielles de 1' architecture de reference soumise a 
5 des evenements singuliers a ete realisee. Elle a permis 
de regrouper les erreurs en deux classes essentielles : 
- les erreurs de donnees, 
-- - les erreurs de sequencement, qui peuvent etre 

egalement partagees en deux sous-classes : 
10. • « plantage doux » : branchement errone, mais 

le microprocesseur retombe en phase avec les 
instructions, et poursuit un sequencement des 
instructions plus ou moins erratique ; 
• « plantage dur » : le microprocesseur n'est 
15 plus operationnel ; par exemple le 

microprocesseur ne reste pas en phase avec 
les instructions, le microprocesseur charge 
le registre d' instructions avec des donnees, 
le pointeur de pile est perturbe, blocage du 
20 sequencement des instructions, attente d'un 

evenement impossible, boucle infinie, etc. 
Ces deux classes se subdivisent elles-memes 
en differentes sous-classes, dont la plus importante 
concerne les erreurs d'adresses. 
25 La distinction entre plantage « doux » et 

« dur » est importante : autant un dispositif materiel 
externe au microprocesseur est generalement necessaire 
a la detection des plantages « durs » (e.g. un chien de 
garde) , autant un mecanisme logiciel peut etre 
30 suffisant pour detecter un plantage « doux » puisque, 
dans ce dernier cas, le microprocesseur continue a 
executer du code, meme si c'est de facon erratique. 

Par ailleurs, les plantages du 
microprocesseur constituent une classe d' erreurs 
35 critiques, car un « microprocesseur fou » est capable 
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d' actions pouvant avoir des consequences 

catastrophiques pour une mission spatiale ; il est done 
important de s'attacher a les detecter, et ceci avec un 
temps de latence court, et/ou de realiser des zones de 
5 confinement d' erreurs afin de minimiser la probability 
de mauvaises commandes suite a une erreur non detectee. 

On va a present decrire le fonctionnement 
du procede de 1' invention proprement dit. 

10 De facon globale, la granularite utilisee 

pour la detection/correction est le cycle temps reel de 
base du calculateur, par exemple le cycle de la tache 
du systeme de controle d' attitude et d'orbite d' un 
calculateur de plate-forme. 

15 En effet/ dans le procede de 1' invention 

comme dans un duplex structured l'objectif est de 
laisser le calculateur travailler sans surveillance, et 
de choisir ou « voter » uniquement les donnees qui 
doivent sortir du calculateur (les commandes) ou qui 

20 servent a la correction (le contexte) . 

Le choix du cycle temps reel pour la 
granularite presente de nombreux * avantages : 

- e'est a cette frequence que l'on accede en 
acquisition ou en commande a une majorite de 

25 capteurs/actuateurs ; 

- e'est en fin de cycle temps reel que l'on dispose 
de donnees « actives » en nombre relativement 
restreint : il n'y a pas de multiples donnees 
intermediaires, ni de variables locales en cours 

30 d' utilisation : 

• pour la detection, on les stocke en un jeu de 
tables qui sont votees, 

• pour la correction, on dispose d' un contexte 
de reprise simple et bien localise. 
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De facon plus precise, la granularite de la 
detection/correction pour une tache donnee est la 
frequence de cette merae tache, puisque le vote se fait 
en fin de tache. Par consequent, si l'on considere une 
5 tache du systeme de controle d' attitude et d'orbite a 
10 Hz et une tache thermique a 1 Hz, la granularite est 
de 10 Hz pour le systeme de controle d' attitude et 
d'orbite et de 1 Hz pour la thermique. Pour raison de 
clarte, on conserve dans la suite du document la notion 

10 de « granularite par cycle temps reel » plutot que 
« par tache ». 

Pour benef icier de l'efficacite du duplex, 
(deux chalnes identiques en parallele, executant -le 
meme logiciel, avec comparaison des sorties), qui 

15 permet de detecter toutes les erreurs sans exception 
quel que soit leur type (erreur de donnees, d'adresses, 
de sequencement, de configuration, etc.), tout en 
supprimant la redondance structurelle, le procede de 
1' invention consiste a implanter un fonctionnement 

20 duplex sur une seule chaine physique. Dans un cycle 
temps reel donne, on multiplexe dans le temps deux 
chaines virtuelles implantees sur une seule chaine 
physique : les donnees resultantes de chaque execution 
d' une chaine virtuelle sont stockees dans des « tables 

25 du duplex multiplexe dans le temps » (e.g. commandes, 
contexte) afin d' etre. votees avant utilisation. 

La correction consiste, suite a une 
detection, a inhiber le cycle temps reel en cours, et a 
recharger un contexte sain pour effectuer une reprise 

30 qui consiste en une execution nominale du cycle suivant 
a partir du contexte recharge : tout se passe comme 
s'il y avait un « trou » d' un cycle temps reel. 

Le procede de 1' invention est base sur le 
fait qu f une erreur generee par un evenement singulier 

35 est transitoire : une telle erreur apparaissant pendant 
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1' execution de la premiere chaine virtuelle n'est pas 
reproduite lors de 1' execution de la deuxieme chaine 
(ou reciproquement) . Par contre, les erreurs statiques 
dans le temps ne peuvent etre detectees par le procede 
5 de 1' invention : par exemple les pannes de composants 
(collage d'un bit, etc.)/ voire meme certaines erreurs 
dues a des evenements singuliers et qui provoqueraient 
une erreur permanente (e.g. blocage d'un sequenceur) . 

Les actions en aval du module vote, c' est- 

10. a-dire le transfert de donnees vers 1' electronique de 
commande (i.e. le bus de donnees), ainsi que 
1' electronique de commande elle-meme, ne sont pas 
protegees par le procede de 1' invention. L' utilisateur 
realise une analyse systeme afin de determiner les 

15 commandes critiques qui necessitent d'etre exemptes 
d' erreurs, et de les proteger par des mecanismes bien 
connus de l'homme de metier : codage des donnees, 
circuit d' auto-controle, instrumentation de 

1' electronique de commandes, etc. 

20 La figure 6 donne une description 

fonctionnelle du procede de 1' invention. 

Sur cette figure on retrouve les flux de 
donnees (traits gras) grace auxquels la chaine 
virtuelle #1 47 recoit les acquisitions #1, la chaine 

25 virtuelle #2 48 recoit les acquisitions #2, le voteur 
securise 49 recoit Les sorties de ces deux chalnes 47 
et 4 8, et emet les commandes. On retrouve egalement le 
signal d' erreurs (trait fin) qui relie le module vote 
securise 49 aux deux chaines virtuelles 47 et 48, pour 

30 realiser une demande de rechargement de contexte afin 
d (initialiser une correction par reprise. 

Le sequencement global du procede de 
1' invention est illustre sur les figures 5A et 5B : 
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- figure 5A : sequencement sans le procede de 
1' invention, les commandes etant neanmoins groupees 
en fin de traitement, 

- figure 5B : sequencement avec le procede de 
5 1' invention. 

La figure 5A illustre deux cycles temps 
reels N et N+l, et le debut du cycle N+2 . 

Chaque cycle temps reel est constitue de 
quatre phases distinctes dans le temps : 
10 - acquisition des donnees, 

- traitement avec calcul des commandes, 

- transmission des commande, 

- tache de fond {« Scrub ») et veille (« Standby ») 
appelee ici « Scrub+Standby ». 

15 La figure 5B illustre le procede de 

l f invention, dans lequel chaque cycle temps reel est 
constitue de : 

- acquisition chaine virtuelle numero 1 , (ChV#l) , 

- traitement chaine virtuelle numero 1 ; les 
20 resultats etant stockes dans une table TAB#1, 

- acquisition chaine virtuelle numero 2 (ChV#2) , 

- traitement chaine virtuelle numero 2 ; les 
resultats etant stockes dans une table TAB #2 , 

- vote des tables TAB#1 et TAB#2, 
2 5 - generation des commandes 

- tache de fond et. veille. 

La figure 7 illustre un synoptique de 
1' ensemble du procede de 1' invention, en presentant 
1' ensemble des circuits permettant une mise en oeuvre 
30 de celui-ci. 

Un premier module microprocesseur 50 
permettant de gerer 1' ensemble des mecanismes 
logiciels, en particulier : 

- la duplication temporelle des taches, 
35 - la mise en table des variables, 
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- le vote securise, 

- la correction par reprise, 

- la gestion des mecanismes materiels. 

Un module 51 de surveillance d'acces 
5 memoire et de fenetre de validation temporelle est 
relie au bus 52 du microprocesseur 50, une memoire a 
detection et correction d'erreur 53 et un coupleur de 
bus 54. 

Le module 51 genere un signal d' erreur sur 
10 la borne « Reset » du microprocesseur 50, un signal de 
selection {« chip-select », CS) sur la memoire 53, et 
un signal de selection sur le coupleur de bus 54. 

La memoire 53 est partagee en segments, 
chaque segment disposant d' un droit d'acces specif ique 
15 (validation par cles) . Le coupleur de bus 54, qui est 
relie a un bus de donnees 55 donnant acces aux autres 
fonctions du calculateur (electronique d' acquisition, 
de commande, etc..) est valide par un signal de type 
« fenetre temporelle ». 

20 

Le procede de 1' invention s'articule ainsi 
autour des caracteristiques suivantes : 

- de trois niveaux de zones de confinement des 
erreurs : temporel, logiciel et materiel ; 

25 - d'une mise en table des variables/donnees ; 

- d'une duplication .temporelle des traitements ; 

- d'un module vote logiciel securise unique permettant 
une detection d'erreur par comparaison des resultats 
de chacun des traitements, le module vote realisant 

30 egalement la generation des commandes ; 

- d'un processeur de surveillance logiciel qui 
participe au controle de l'integrite du vote ; 

- d'un plan memoire de 1' unite centrale protege des 
evenements singuliers par code detecteur et 

35 correcteur d'erreur ; 
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— d'une segmentation de la memoire associee a un 
dispositif materiel de controle des droits d' acces 
qui, avec 1' element precedent/ permet de sauvegarder 
de facon sure le contexte de reprise et de detecter 

5 des erreurs d' adressage ; 

- d' un contrdle des transferts vers 1' electronique de 
commande, via le bus de donnees, par un dispositif 
materiel controlant le droit d' acces, delimitant 
ainsi une zone de confinement des erreurs ; 

10 - d' une correction par reprise en cas d'erreur. 

On va, a present analyser successivement 
chacune de ces caracteristiques . 

Zones de confinement 

15 La zone majeure de confinement des erreurs 

60 est constitute del' electronique d' acquisition 41 et 
de 1' unite centrale 40, comme illustre sur la figure 
8 : sur cette figure on utilise les memes references 
que celles de la figure 4. Ainsi, si une erreur 

20 perturbe les acquisitions ou le traitement, cette 
erreur ne peut pas etre generee vers 1' electronique de 
commande 43. Les erreurs survenant suite a un evenement 
singulier dans 1' electronique d' acquisition 41 ou dans 
1' unite centrale 40 ne peuvent done pas engendrer de 

25 mauvaises commandes du satellite ; elles ne perturbent 
pas la mission. 

Cette zone de confinement 60 est, grace au 
vote, effective pour les erreurs que le module vote est 
capable de detecter. Pour les autres erreurs, cette 

30 zone de confinement est egalement quasi etanche grace a 
la presence d' un controle de droit d' acces : le 
dispositif materiel de fenetre de validation temporelle 
bloque toute generation de commande sur le bus non 
autorisee . 
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Par ailleurs, d'autres zones de confinement 
sont definies dans le procede de 1' invention : 

- confinement temporel des erreurs au niveau d'un 
cycle temps reel puisque la correction est basee 
sur une granularite d'un cycle temps reel ; 

- confinement des erreurs au niveau des taches 
logicielles grace au dispositif de surveillance des 
acces memoire et au niveau des chaines virtuelles 
egalement grace a la surveillance des acces 
memoire . 

Tables du procede 

Le fonctionnement du procede de 1' invention 
s'appuie sur un jeu de tables ou sont en particulier 
stockees les donnees a voter (ces tables sont done 
dupliquees, un jeu etant gere par ChV#l, 1' autre par 
ChV#2) . On appelle ces tables « tables du duplex 
multiplexe dans le temps » car elles sont specifiques 
au fonctionnement duplex, par opposition aux tables 
usuelles du logiciel. On peut citer par exemple : 

- table d' acquisition (TAB-Acq) , 

- table de commande (TAB-Cde) , 

- table de contexte (TAB-Ctxt) . 

Pour permettre une restauration du contexte 
lors d'une correction par reprise, chacune des tables 
de contexte TAB-Ctxt#l et TAB-Ctxt#2 est en fait 
constitute d'un jeu de deux tables qui travaillent en 
basculement un cycle sur deux en fin de tache (i.e. en 
fin de vote). Un jeu de deux index « Old » (ancien) et 
« New » (nouveau), memorises en memoire, leur est 
associe. 

Ainsi, lors du cycle numero N de la tache 
K, pour la chaine virtuelle 1, la premiere table est 
par exemple consideree comme « New » et no tee TAB-Ctxt- 
New#l, la deuxieme table est « Old » et notee TAB-Ctxt- 
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01d#l. Si aucune erreur n' est detectee par le vote de 
la tache K, le basculement en fin de vote intervertit 
les roles : la premiere table devient alors TAB-Ctxt- 
Oldffl, et la deuxieme TAB-Ctxt-New#l . 

Les zones « Old » sont interdites en 
ecriture grace au dispositif de surveillance des acces 
memoire afin de proteger, par exemple, d'un plantage du 
microprocesseur/ le contexte de reprise une fois vote 
et juge sain. 

Sequencemen t - duplication tempore lie 

Par rapport a 1' architecture logicielle de 
reference definie ci-dessus, le procede de 1' invention 
impose de ne pas generer les commandes au fur et _a 
raesure de leur calcul comme indique a la figure 3, mais 
de les stocker dans une table en attente du vote (voir 
figure 5B) . Lorsque le traitement est termine pour les 
deux chaines virtuelles, les tables sont votees et ce 
n'est que si aucune incoherence n' est detectee entre 
elles que le module de vote genere les commandes : i.e. 
l'une des deux tables de commande est envoyee par 
1' unite centrale 40 vers 1' electronique de commande 43 
par 1' intermediaire du bus 45. 

Le sequencement global du procede de 
1' invention, pour une tache donnee, incluant 1' aspect 
duplication temporelle, est decrit ci-apres au vu de la 
figure 9. 

Cette figure illustre le sequencement du 
duplex multiplexe dans le temps,, selon 1' invention, et 
le basculement des tables de contexte. 

Les cycles temps reel sont initialises par 
des interruptions temps reel IT-TR. 

Chaque cycle temps reel est constitue des 
phases suivantes : 
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- sequenceur/executif temps reel (ETR) , 

- tache A, 

- sequenceur/executif temps reel, 

- tache B, 

- sequenceur/executif temps reel, 

- tache C, 

- sequenceur/executif temps reel, 

- tache de fond et veille. 

La tache A consiste, de meme que les taches 
et C, comme illustre sur la figure 5B, en : 

- acquisition chaine virtuelle numero 1, 

- traitement chaine virtuelle numero 1, 

- acquisition chaine virtuelle numero 2, 

- traitement chaine virtuelle numero 2, 

- vote et generation des commandes . 

On a les etapes suivantes : 
Pendant le Module « traitement » de la chaine 
virtuelle numero 1 (ChV#l) : 

- acquisition des donnees pour ChV#l et stockage dans 
TAB-Acq#l ; 

- execution des traitement associes a ChV#l a partir 
de TAB-Acq#l et TAB-Ctxt-01d#l ; les resultats de 
ces traitements sont stockes dans les tables TAB- 
Cde#l et TAB-Ctxt-New#l ; aucune commande n' est 
generee par 1' unite centrale vers les actuateurs. 

Pendant le Module .« Traitement » de la chaine 
virtuelle numero 2 (ChV#2) : 

- acquisition des donnees pour ChV#2 et stockage dans 
TAB-Acq#2 ; 

- execution des traitements associes a ChV#2 a partir 
de TAB-Acq#2 et TAB-Ctxt-01d#2 ; les resultats sont 
stockes dans TAB-Cde#2 et TAB-Ctxt-New#2 ; aucune 
sortie n'est effectuee par le calculateur. 
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• Pendant le Module « Vote et generation des 
commandes », c'est-a-dire comparaison des tables et 
execution des actions concernant les tables : 

- comparaison mot a mot de TAB-Cde#l et TAB-Cde#2 ; 

- comparaison mot a mot de TAB-Ctxt-New#l et TAB- 
Ctxt-New#2 ; 

- si aucune erreur n'est detectee, poursuite du 
processus ; sinon, mise en « standby », c'est-a- 
dire en veille ; 

- commutation des tables de contexte par changement 
d r index : TAB-Ctxt-New remplace TAB-Ctxt-Old et 
sert de contexte pour le prochain cycle temps 
reel ; 

- realisation des commandes : l'une des deux TAB-Cde 
est videe sequentiellement pour transferer les 
demandes de commandes vers 1' electronique de 
commande via le bus de donnees ; 

- initialisation des parametres du duplex multiplexe 
dans le temps (tables du duplex multiplexe dans le 
temps, variables de gestion du duplex multiplexe 
dans le temps) . 

Ainsi, a la figure 9, lors du cycle temps 
reel N+l, le contexte d' entree de la tache A est TAB- 
Ctxt-Old (N) si aucune erreur n' a ete detectee lors du 
cycle temps reel N, cette table contenant en fait les 
donnees de TAB-Ctxt-New (N) grace a la commutation ; 
sinon, le contexte d' entree de la tache A est TAB-Ctxt- 
Old (N-l), cette table etant identique a la table TAB- 
Ctxt-Old (N-l) du cycle temps reel N puisque la 
commutation des contextes n'a pas lieu en cas d' erreur . 

Durant les modules de traitement, un code 
de controle (checksum) est calcule pour chacune des 
tables qui sont soumises au vote ; il participe a la 
verification de 1' exhaustivite (de l'integrite) du 
vote . 
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Vote logiciel secuxlse 

Les donnees qu'il est necessaire au minimum 
de voter sont les differentes sorties du module de 
5 traitement/ comrae illustre sur la figure 10, a savoir : 

- les donnees 65 sortant du calculateur (les 
commandes) pour ne pas generer d' actuations 
erronees, 

- les donnees 66 servant a la reprise (le contexte : 
10 si le cycle N est en faute, les donnees saines N-l 

seront restituees pour la reprise), le contexte de 
reprise se devant *d' etre sain. 

Ainsi, toutes les donnees sortant du module 
de traitement sont votees. Le vote associe a une tache 
15 donnee est realise en fin de cette tache, ceci etant 
defini par la granularite de la detection/correction. 

En ce qui concerne le module vote, le 
procede de 1' invention permet d'obtenir les 
caracteristiques suivantes : 
20 - Pas besoin d'utiliser un composant 

externe tolerant aux evenements singuliers si 1'on sait 
definir des dispositifs de securisation du vote ; 
1' architecture en est ainsi simplifiee : le vote peut 
etre realise par le microprocesseur lui-meme, 
25 entierement en logiciel, avec un support des quelques 
dispositifs materiels necessaires par ailleurs dans le 
procede de 1' invention, 

- Le vote logiciel n' est pas duplique. 
Le procede de 1' invention est base sur 
30 1' utilisation au mieux des capacites de detection d'une 
architecture duplex, c'est-a-dire pouvant detecter tous 
les types d'erreur, y compris les erreurs de 
sequencement qui sont a la fois les plus difficiles a 
detecter et qui ont potentiellement les consequences 
35 les plus graves. Ces erreurs ont un impact sur la 
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coherence des tables du duplex multiplexes dans le 
temps ; elles sont done detectees par un vote logiciel 
a condition qu'il soit securise, c' es.t-a-dire qu'il ne 
puisse etre declenche par un microprocesseur 
fonctionnant incorrectement . II faut done s' assurer de 
1' integrate du vote par des mecanismes adequats . 

La securisation du vote est basee sur deux 
elements centraux : 

- verification en debut de vote de l'etat sain du 
microprocesseur et du module unite centrale, 

- verification en cours de vote de la completude du 
vote, afin d'autoriser la generation des commandes. 

La structure du vote est definie en 
fonction de 1' analyse des possibility de mauvais 
branchement d'un microprocesseur victime d'un plantage 
« dpux », la figure 11A illustre les differentes 
erreurs de sequencement possible de type « plantage 
doux » . 

Les « plantages durs » sbnt traites par un 
chien de garde, methode usuelle pour 1'homme de 1'art. 

La structure du module de « Vote logiciel 
et generation des commandes » associe a la tache K est 
illustree sur la figure 11B est la suivante : 

a) verification de l'etat du microprocesseur se 
branchant au debut du vote et du module unite 
centrale : verifier que le 'pointeur de pile est 
dans la zone autorisee, verifier les registres de 
configuration du microprocesseur et de la carte 
unite centrale ; 

b) inhibition des caches si possible pour minimiser la 
probability d' erreur durant le vote ; 

c) verification d' une variable Cle-Vote a 0, puis mise 
^ 1 (i.e. vote) ; cette variable est une cle 
permettant de controler globalement le bon 
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sequencement du microprocesseur grace a un procede 
de Surveillance Logiciel ; 

d) activation de la cle du dispositif surveillance 
d' acces memoire indiquant un vote en cours et 

5 autorisant 1' acces simultane aux deux zones memoire 

ChV#l et ChV#2 ; 

e) vote de toutes les tables resultantes du duplex 
multiplexe dans le temps et calcul d # un code 
redondant cyclique calcule lors des votes CRC-V, au 

10 fur et a me sure du vote, pour chaque table : TAB- 

Cde, TAB-Ctxt-New ; 

f) verification de Cle-Vote a 1, puis mise a 2 (i.e. 
generation des commandes) ; 

g) comparaison des CRC-V aux codes redondants 
15 cycliques calcules lors des traitements CRC-T ; 

h) inhibition de la cle du dispositif de surveillance 
d' acces memoire indiquant un vote en cours ; 

i) si le resultat des tests e, f et g est correct, 
alors ouverture d' une fenetre de validation 

20 temporelle du coupleur de bus grace au dispositif 

de fenetre de validation temporelle ; 
j ) reinitialisation des registres de configuration des 

cartes de commandes ; 
k) generation des commandes vers le coupleur de bus ; 
25 1) verification des registres de configuration des 
cartes de commandes, et action en fonction du type 
d'erreur eventuellement detecte (en general : re- 
emission de la commande) ; 
la fenetre temporelle s'est terminee, ou va se 
30 terminer ; 

m) verification de Cle-Vote a 2, puis mise a 3 (i.e. 

commutation et initialisation) ; 
n) basculement des tables de contextes de la tache K 
en intervertissant son jeu d' index « Old » et 
35 « New » stocke en memoire ; 



B 13049 DB 



• 



35 

o) initialisation de toutes les tables de la tache K, 
hormis les tables « Old », avec des valeurs en 
complement a 1 entre ChV#l et ChV#2 ; 
p)transfert des tables « Old » vers les tables 
5 « New », et vote pour verifier ce transfert ; ce 

transfert est necessaire pour assurer la perennite 
des variables qui ne sont pas mises a jour 
systematiquement a chaque execution de tache ; 
q) verification de Cle-Vote a 3, puis mise a 0 (i.e. 
10 inhibe) ; 

r) validation des caches. 

La procedure « vote/generation des . 
commandes/commut at ion/ initialisation des tables du 
duplex multiplexe dans le temps » est non secable, i.e. 
15 elle ne doit pas etre preemptee (une fois initialisee, 
elle doit se terminer). Une interruption peut, par 
contre, inter rompre momentanement ce module. 

Processeur de sumrelllance logiciel 

20 Un procede de Surveillance Logiciel/ connu 

de l'homme de metier, permet de confier au logiciel 
lui-meme le controle du bon sequencement des 
instructions du microprocesseur . Le logiciel est 
decoupe en segments elementaires lineaires, c'est-a- 

25 dire compris entre deux branchements . Les segments 
lineaires ne comportant pas eux-memes d f instructions de 
branchement, une fois que le microprocesseur a execute 
la premiere instruction de ce segment, celui-ci doit 
forcement arriver jusqu'a 1' execution de la derniere 

30 instruction de ce meme segment. 

On verifie que le microprocesseur est bien 
rentre dans un segment lineaire exactement a son point 
d' entree, et non ailleurs, grace au prelevement d'une 
cle au point d' entree et son controle au point de 

35 sortie. 
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La securisation du vote utilise entre autre 
ce proeede de Surveillance Logiciel ; la variable 
logicielle « Cle-Vote » etant une cle associee a ce 
proeede. Ce module vote est partitionne en trois 
5 segments fonctionnels (vote, generation des commandes, 
commutation et initialisation) , le reste du logiciel 
applicatif representant en quelque sorte un quatrieme 
segment : 

- en debut de chaque segment, on controle la valeur 
10 de la cle du proeede de Surveillance Logiciel pour 

s' assurer que le microprocesseur est bien sorti du 
segment precedent exactement a son point de sortie 
et non ailleurs, on verifie ainsi que les segments 
s'enchainent bien les uns a la suite des autres ; 
15 - puis, juste apres ce controle de debut de segment, 
on positionne la cle du proeede de Surveillance 
Logiciel a une valeur correspondant au segment 
courant ; 

- en fin de chaque segment, on controle que le 
20 microprocesseur est bien rentre dans le segment 

courant exactement a son point d' entree et non 
ailleurs . 

Protection du plan memoir e 

25 * Les plans memoires sont classiquement 

proteges contre les evenements singuliers par code 
correcteur (EDAC) et tache de relecture en tache de 
fond de tout le plan memoire pour detecter et corriger 
les erreurs dormantes . Ceci est necessaire car de 

30 multiples erreurs sur le meme mot ne pourraient plus 
etre detectees et/ou corrigees. 

Le proeede de l f invention s'appuie : 
- sur une memoire fiable vis-a-vis des 
evenements singuliers grace a 1' utilisation d'un code 

35 correcteur (EDAC) ; 
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- sur une. memoire fiable vis-a-vis des 
ecritures incorrectes suite a une erreur d'adresse, 
d' instruction, un plantage du microprocesseur, etc., 
grace a 1' utilisation d' une surveillance des droits 
5 d'acces. 

Dispositif de svurveillance des acces memoire 

Le dispositif de Surveillance des Acces 
Memoire ou SAM est un dispositif materiel derive des 

10 classiques unites de protection memoire par blocs. II 
permet de verifier que le microprocesseur cherchant a 
acceder a une zone memoire delimitee, en possede bien 
le droit d'acces. 

Le dispositif surveillance d'acces memoire 

15 permet de detecter une grande partie des erreurs 
d' adresses. II permet, en particulier, de detecter tres 
rapidement de nombreux cas de plantage du 
microprocesseur. En effet, suite a un plantage 
« doux », un microprocesseur peut frequemment sortir de 

20 la zone d' adresses autorisee. 

Le dispositif de surveillance d'acces 
memoire dispose de certaines specificites par rapport a 
une unite de protection memoire par bloc classique : 

- la taille des segments est quelconque, et definie 
25 en fonction de 1' application ; 

- 1' autorisation d'acces se fait en programmant des 
cles memorisees dans des registres internes au 
dispositif de surveillance d'acces memoire, la 
definition et la combinaison de ces cles entre 

30 elles etant specif iques au procede de 1' invention. 

La liste des cles integrees dans le 
dispositif surveillance d'acces memoire est la 
suivante : 

- Cle d' interdiction d'acces en ecriture a la zone 
35 memorisant le code, car une erreur de code serait 
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une erreur de mode commun aux deux chaines 
virtuelles et ne pourrait pas etre detectee par le 
vote. Cette cle permet d'autoriser l'ecriture de la 
memoire uniquement lors de 1' initialisation du 
5 calculateur, lorsque le code en memoire morte est 

transfere en memoire vive. 

- Cle indiquant quelle est la chaine virtuelle 
•courante, ChV#l ou ChV#2, et interdisant au 
microprocesseur d'acceder a la zone memoire 

10 contenant les tables de ChV#2 lorsque c'est ChV#l 

qui est en train de s'executer (et reciproquement) . 
Cette cle permet une etancheif ication aux erreurs 
d'une chaine virtuelle par rapport a 1' autre. 

- Cle. indiquant un vote en cours d' execution : 
15 lorsqu'elle est active, elle autorise 

exceptionnellement au microprocesseur d'acceder 
simultanement aux deux zones ChV#l et ChV#2 pour 
pouvoir realiser le vote. 

- Cle indiquant quelle est la tache courante, et 
20 autorisant le microprocesseur a n' acceder qu' a la 

zone memoire contenant les tables de la tache du 
logiciel en cours d' execution. Cette cle permet une 
etancheif ication aux erreurs d'une tache par 
rapport aux autres. 
25 - Cle indiquant quelle est, parmi les jeux de deux 
tables « Old »/ << New » travail lant en basculement, 
les zones « Old » et les zones « New », les zones 
« Old » etant interdites en ecriture. 



30 Dlsposxtxf de fenetre de validation tempore lie 

Le dispositif de Fenetre de Validation 
Temporelle ou FVT est un dispositif materiel original. 
II est realise a l'aide d'un compteur de temps 
classique. II permet de confiner les erreurs au niveau 
35 materiel. II est concu pour : 



B 13049 DB 



39 

- interdire a un microprocesseur plante qui irait 
executer du code de gestion de 1' elect ronique de 
commandes, de generer une commande sans avoir 
acquitte correctement un droit d' acces ; 
5 - interdire a un microprocesseur qui executerait une 
instruction erronee de type « ecriture a une 
adresse correspondant a une commande » de generer 
une commande par inadvertance. 

Le dispositif fenetre de validation 
10 temporelle protege done le systeme de commandes 
intempestives, avec les consequences potent iellement 
catastrophiques que celles-ci pourraient avoir pour 
1' application. II est arme prealablement pour autoriser 
1' acces a 1' electronique de commande : on ouvre une 
15 fenetre de validation d' acces temporelle. 

Dans les cas d'erreurs mentionnes ci- 
dessus, le microprocesseur n' accede pas a 
1' electronique de commande en executant la procedure 
d' interface de facoh exhaustive ; par consequent, 
20 1' acces non autorise est immediatement detecte par ce 
dispositif puisque le microprocesseur n'a pas ouvert 
prealablement la fenetre de validation temporelle i 

Le dispositif fenetre de validation 
temporelle est arme apres avoir pris la decision 
25 qu'aucune erreur n'etait presente. Cette decision est 
basee d'une part sur la verification de l'etat sain du 
microprocesseur et de 1' unite centrale (en debut de 
vote, puis avec la variable « Cle-Vote » et le controle 
de « checksum » en cours de vote), et d' autre part sur 
30 le resultat du vote. 

Correction 

La correction s' execute suivant le 
sequencement suivant : 
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— lorsqu'une erreur est detectee, le cycle temps reel 
courant (numero N) . est inhibe, aucune comraande 
n' est generee : le microprocesseur passe en mode 
veille en attendant le cycle temps reel suivant, 
5 - le cycle temps reel suivant N+l s' execute non pas a 
partir du contexte N, qui n'est pas sGr, mais du 
contexte precedent N-l, et des acquisitions du 
cycle courant N+l. 

On ne rejoue pas le cycle temps reel 
10 fautif, on se contente simplement d' inhiber le cycle 
temps reel courant et de restaurer le contexte du cycle 
precedent. En cas d' erreur, le microprocesseur ne 
genere pas les commandes du cycle temps reel courant 
puisqu'il s'est mis en veille : tout se passe comme 
15 s' il y avait un « trou » d'un cycle temps reel. 

La correction ne necessite aucune action 
specif ique : le microprocesseur s'etant mis en veille 
apres une detection, il ne poursuit pas 1' execution du 
module de vote ; cela entraine naturellement une non 
20 permutation des contextes « Old » et « New » qui se 
fait en fin du module vote. 

£tant donne le caractere transitoire des 
erreurs detectees par le procede, une seule tentative 
de reprise est effectuee. Si elle est inf ructueuse, une 
25 reinitialisation complete du calculateur est alors 
necessaire. 



Sequenceur - Executlf temps reel 

Le sequenceur, ou l'executif temps reel, 
30 qui permettent 1' ordonnancement des taches logicielles, 
ne sont pas directement proteges. L'objectif est de 
pouvoir utiliser un executif commercial, done de ne pas 
le modifier pour y integrer des mecanismes de tolerance 
aux fautes. 
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Par contre, le temps d' execution qui leur 
est consacre, au regard du temps d' execution total/ est 
tres faible. Par consequent,. les erreurs 
d'ordonnancement des taches sont des modes communs aux 
deux chalnes virtuelles, non detectables, mais qui ont 
un impact tres reduit sur le taux de couverture . 

Par ailleurs, les zones de confinement 
permettent de bloquer une partie des erreurs non 
detectees avant qu'une mauvaise commande ne soit 
initialisee reduisant ainsi 1' impact des erreurs 
provenant/ entre autre, de 1' ordonnanceur . 

Vari antes de jrealisation 

Des variantes du procede de 1' invention 
sont possibles,, en particulier en simplifiant certaines 
de ses caract^ristiques, par exemple. 

- Simplification des securites du vote : suppression 
du calcul de somme de controle « checksum », le 
controle par procede de surveillance logiciel etant 
considere comme suffisant. 

- Simplification du dispositif de surveillance des 
acces memoire : pas de cloisons etanches entre 
ChV#l et ChV#2 (suppression de la cle indiquant la 
chaine virtuelle courante) , car la probabilite 
d' erreurs identiques entre les deux chaines est a 
priori tres faible. 
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RE VEND I CAT I ONS 

1. Procede de traitement d'un systeme 
electronique soumis a des contraintes d' erreurs 
transitoires, caracterise en ce que, dans un cycle 
temps r6el donne, on multiplexe dans le temps deux 
chaines virtuelles implantees sur une seule chalne 
physique ; les donnees resultant es de chaque execution 
d'une chalne virtuelle etant stockees afin d'etre 
votees avant utilisation, et en ce que, en cas de 
detection d'erreur, on inhibe le cycle temps reel en 
cours, et on recharge uri contexte sain pour effectuer 
une reprise consistant en une execution nominale du 
cycle suivant a partir du contexte recharge. 

2. Procede selon la revendication 1, dans 
lequel on utilise trois niveaux de zones de confinement 
des erreurs : tempore!, logiciel et materiel. 

3. Procede selon la revendication 1, dans 
lequel on utilise un plan memoire de 1' unite centrale 
protege des evenements singuliers par code detecteur et 
correcteur d'erreur. 

4. Procede selon la revendication 1, dans 
lequel la granular ite de detection/correction retenue 
est le cycle temps reel du calculateur. 

' 5. Procede selon la revendication 1, dans 
lequel la fonction « sauvegarde de contexte » activee 
regulierement est realisee grace a un changement 
d' index. 

6. Procede selon la revendication 1, dans 
lequel la fonction « restauration de contexte » activee 
lors d' une correction d' erreurs est realisee grace au 
fait que 1' index indiquant le contexte juge sain du 
cycle temps reel precedent, n'est pas change, alors 
qu' il a bascule en temps normal, c'est-a-dire 
lorsqu' aucune erreur n' est detectee ; ce « non 
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basculement » etant inherent a 1' inhibition du cycle 
temps reel dans lequel l'erreur est detectee. 

7. Procede selon la revendication 1, dans 
lequel on utilise une segmentation de la memoire 
associee a un dispositif materiel de controle des 
droits d'acces. 

8. Procede selon la revendication 1, dans 
lequel le dispositif materiel de controle des droits 
d'acces permet plusieurs configuration d'acces, chaque 
configuration autorisant l'acces a un ou plusieurs 
segments non contigus. 

9. Procede selon la revendication 7, dans 
lequel le dispositif materiel de controle des droits 
d'acces permet la selection des configurations d'acces 
selon des combinaisons logiques de une ou plusieurs 
cles. 

10. Procede selon la revendication 1, dans 
lequel on utilise une mise en table des 
variables/donnees qui doivent etre votees. 

11. Procede selon la revendication 1, dans 
lequel on utilise un vote logiciel dont 1' integrate est 
assuree par des controles logiciels, incluant en 
particulier un processeur de surveillance logiciel, et 
materiels . 

12 . Procede selon la revendication 1, dans 
lequel on utilise un controle des transferts vers 
1' electronique de commande par un dispositif materiel 
verifiant les droits d'acces et limitant dans le temps 
la validite de ce transfert, delimitant ainsi une zone 
de confinement des erreurs au niveau materiel. 

13. Procede selon l'une quelconque des 
revendications precedentes, qui est utilise dans le 
domaine spatial. 
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SI CLE-VOTE#0=>ERREUR(LE VOTE/GENE. PRECEDENT A ETE TRONQUE) 
SINON, CLE-VOTE=1 (DEMARRAGE DU VOTE) 



VOTE DE TAB#1 ET TAB#2 

+ CALCUL DU CRC-V DES DONNEES VOTEES 
AU FUR ET A MESURE DU VOTE 

> CRC-V 

SI CLE-VOTE*1=>ERREUR(ON N'EST PAS PASSE AU POINT D'ENTREE DU VOTE) 

SINON, CLE-VOTE=2(FIN DU VOTE.DEBUT DE LA GENE. DES CDES) 
SI CRC-V*CRC-T=>ERREUR(PRp&LEME DORBNT L£ VOTE) 

SINON, GENERATION D'UNE FENETRE TEMPORELLE DE VALIDATION 
DU COUPLEUR DE BUS 
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